WO2015155888A1 - 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム - Google Patents

Abstract

弊害を生じることなく情報が漏洩したことを検知し、漏洩の主体を特定する。 サーバは、ネットワークの内部において秘密に管理される機密情報を、機密性の高低を示す機密度に対応付けて記憶する記憶部を照会し、ネットワークの外部に対するアクセスによって機密情報が漏洩する危険性を示す漏洩度を算出する算出部と、機密度および漏洩度のうちの少なくとも一方が、機密情報が漏洩する基準を示す所定の条件を満たすか否かを判定する判定部と、所定の条件を満たすと判定された場合、漏洩の主体を特定する特定部を備えている。

Description

情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム

　本発明は、情報漏洩を検知する情報漏洩検知装置等に関するものである。

　ネットワークの外部から不正にアクセスした侵入者によって、機密情報が漏洩されることを防ぐ技術は、従来から提案されていた。

　例えば、下記の特許文献１には、不正アクセスによる個人情報の漏洩を未然に防止する情報漏洩防止装置が開示されている。また、下記の特許文献２には、ウェブクライアントにおけるクロス・ドメイン・アクセスにより、ウェブサーバから入手した情報が他のドメインに漏洩することを防止する情報漏洩防止プログラムが開示されている。

特開２０１３－０６９０１６号公報（２０１３年４月１８日公開） 特開２０１０－０７９４３１号公報（２０１０年４月０８日公開）

　外部からの不正アクセスによって情報が漏洩されるケースよりも、ネットワークの内部に含まれるメンバーによって情報が不正に持ち出されるケースの方が多い。ここで、上記先行技術文献にそれぞれ開示された技術では、後者のケースを防止できない。

　一方、内部メンバーによる情報漏洩を防止するために、情報が漏洩し得る経路を制限し（記録メモリを使用不可能にしたり、外部ネットワークに対するアクセスを遮断したりするなど）、管理を強化することが考えられる。しかし、制限・管理を強化するほど、業務の効率が落ち、管理コストが高くつくという弊害が生じる。

　本発明は、上記の問題点に鑑みてなされたものであり、その目的は、上記弊害を生じることなく、情報が漏洩したこと、または情報が漏洩するおそれが高まったことを検知し、当該漏洩の主体を特定可能な情報漏洩検知装置等を提供することである。

　上記課題を解決するために、本発明の一態様に係る情報漏洩検知装置は、情報漏洩を検知する情報漏洩検知装置であって、ネットワークの内部において秘密に管理される機密情報を、機密性の高低を示す機密度に対応付けて記憶する所定の記憶部を照会し、前記ネットワークの外部に対するアクセスによって前記機密情報が漏洩する危険性を示す漏洩度を算出する算出部と、前記機密度および前記漏洩度のうちの少なくとも一方が、前記機密情報が漏洩する基準を示す所定の条件を満たすか否かを判定する判定部と、前記判定部によって前記所定の条件を満たすと判定された場合、前記漏洩の主体を特定する特定部とを備えている。

　ここで、上記「機密情報」は、事業活動に有用な技術上または営業上の情報であり、例えば、個人情報、技術情報（設計図、実験データ、研究レポート、製造ノウハウ）、営業情報（顧客名簿、販売マニュアル、仕入先リスト、財務データ）などが含まれる。

　また、上記「ネットワークの外部」には、上記「ネットワークの内部」（例えば、イントラネット）に対する外部（例えば、インターネット）だけでなく、ある主体（例えば、企業の従業者）が通常アクセス可能な範囲外（例えば、アクセスするために特別な権限を必要とする場所）が含まれる。

　さらに、上記「機密度」および「漏洩度」は、所定の段階に区切って序列化可能な記号でありさえすればよく、例えば、数値であってもよいし、「高」、「中」、「低」などの文字であってもよい。

　上記構成によれば、上記情報漏洩検知装置は、上記所定の記憶部を照会することによって取得可能な上記機密度または漏洩度に基づき、情報漏洩を引き起こす主体を特定できる。したがって、上記情報漏洩検知装置は、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、情報が漏洩したこと、または情報が漏洩するおそれが高まったことを検知し、当該漏洩の主体を特定することができる。

　本発明の一態様に係る情報漏洩検知装置において、前記判定部は、前記機密情報が前記ネットワークの外部に送信された場合、前記所定の条件を満たすと判定してよい。

　したがって、上記情報漏洩検知装置は、上記弊害を生じることなく、情報が漏洩したことを検知し、当該漏洩の主体を特定することができる。

　本発明の一態様に係る情報漏洩検知装置において、前記算出部は、前回算出した漏洩度を用いて今回の漏洩度を算出し、前記判定部は、前記今回の漏洩度が所定のしきい値を超過する場合、前記所定の条件を満たすと判定してよい。

　上記構成によれば、上記情報漏洩検知装置は、前回算出した漏洩度を用いて今回の漏洩度を算出する。例えば、上記情報漏洩検知装置は、漏洩度が「５」と前回算出されていた場合、さらに「５」を加算して、今回の漏洩度を「１０」と算出できる。そして、上記情報漏洩検知装置は、上記漏洩度に設定された所定のしきい値を、当該漏洩度が超過しているか否かを、上記所定の条件の１つとして判定できる。

　したがって、上記情報漏洩検知装置は、上記弊害を生じることなく、情報が漏洩するおそれが高まったことを検知し、当該漏洩の主体を特定することができる。

　本発明の一態様に係る情報漏洩検知装置は、前記ネットワークを流通するデータを解析することによって、当該ネットワークの内部に所属する各主体の評判を示す評判情報を抽出する抽出部をさらに備え、前記算出部は、前記抽出部によって抽出された評判情報に基づいて、前記漏洩度を算出してよい。

　ここで、上記「データ」には、電子メール、ドキュメントファイル、プレゼンテーションファイル、音声ファイル（例えば、電話による通話を録音したデータ）、画像・動画データなどが広く含まれる。

　上記構成によれば、上記情報漏洩検知装置は、例えば、電子データに含まれる文章を解析することによって各主体の評判を抽出し、当該評判に基づいて上記漏洩度を算出できる。したがって、上記情報漏洩検知装置は、上記弊害を生じることなく、情報が漏洩したこと、または情報が漏洩するおそれが高まったことをより正確に検知し、当該漏洩の主体を特定することができる。

　本発明の一態様に係る情報漏洩検知装置において、前記判定部は、複数の主体の関係性を示す関係性情報が、前記所定の条件を満たすか否かをさらに判定してよい。

　ここで、上記「関係性情報」には、例えば、上記アクセスに係る主体の媒介中心性に関する情報が含まれる。上記「媒介中心性」は、その主体を中継しなければ、情報が他の主体に伝わらない度合いを示す。また、上記「関係性情報」には、例えば、次数中心性、近接中心性など、人的ネットワークの特性を示す情報が含まれていてよい。

　上記構成によれば、上記情報漏洩検知装置は、ある主体が情報を漏洩したか否かを判定する条件の１つに上記関係性情報を用いることができる。したがって、上記情報漏洩検知装置は、上記弊害を生じることなく、情報が漏洩したこと、または情報が漏洩するおそれが高まったことをより正確に検知し、当該漏洩の主体を特定することができる。

　本発明の一態様に係る情報漏洩検知装置は、前記機密情報にあらかじめ対応付けられた前記機密度を学習データとして参照することによって、当該機密情報とは異なる他の機密情報に前記機密度を新たに対応付けて、当該他の機密情報を前記所定の記憶部に格納する格納部をさらに備えてよい。

　したがって、上記情報漏洩検知装置は、大量の情報が機密情報としてリストアップされる場合であっても、情報が漏洩したこと、または情報が漏洩するおそれが高まったことを検知し、当該漏洩の主体を特定することができる。

　本発明の一態様に係る情報漏洩検知装置は、前記特定部によって特定された漏洩の主体を、認識可能に提示する提示部をさらに備えてよい。

　したがって、上記情報漏洩検知装置は、上記弊害を生じることなく、情報が漏洩したこと、または情報が漏洩するおそれが高まったことを検知し、当該漏洩の主体を（例えば、上記情報漏洩検知装置の管理者に）提示することができる。

　本発明の一態様に係る情報漏洩検知装置において、前記提示部は、前記漏洩の主体が特定された根拠となる情報をさらに提示してよい。

　例えば、機密情報が電子メールに添付され、当該電子メールがネットワークの外部に送信されたことにより上記機密情報が漏洩した場合、上記情報漏洩検知装置は、当該電子メールが認識可能となるように、当該電子メールを提示できる。したがって、上記情報漏洩検知装置は、情報漏洩の原因となる証拠を確実に保全することができる。

　上記課題を解決するために、本発明の一態様に係る情報漏洩検知方法は、情報漏洩を検知する情報漏洩検知方法であって、ネットワークの内部において秘密に管理される機密情報を、機密性の高低を示す機密度に対応付けて記憶する所定の記憶部を照会し、前記ネットワークの外部に対するアクセスによって前記機密情報が漏洩する危険性を示す漏洩度を算出する算出ステップと、前記機密度および前記漏洩度のうちの少なくとも一方が、前記機密情報が漏洩する基準を示す所定の条件を満たすか否かを判定する判定ステップと、前記判定ステップにおいて前記所定の条件を満たすと判定した場合、前記漏洩の主体を特定する特定ステップとを含んでいる。

　したがって、上記情報漏洩検知方法は、上記情報漏洩検知装置と同じ効果を奏する。

　上記課題を解決するために、本発明の一態様に係る情報漏洩検知プログラムは、情報漏洩を検知する情報漏洩検知プログラムであって、コンピュータに、ネットワークの内部において秘密に管理される機密情報を、機密性の高低を示す機密度に対応付けて記憶する所定の記憶部を照会し、前記ネットワークの外部に対するアクセスによって前記機密情報が漏洩する危険性を示す漏洩度を算出する算出機能と、前記機密度および前記漏洩度のうちの少なくとも一方が、前記機密情報が漏洩する基準を示す所定の条件を満たすか否かを判定する判定機能と、前記判定機能によって前記所定の条件を満たすと判定された場合、前記漏洩の主体を特定する特定機能とを実現させる。

　すなわち、本発明の各態様に係る情報漏洩検知装置は、コンピュータによって実現されてもよい。この場合、コンピュータを上記情報漏洩検知装置が備えた各部として動作させることによって、上記情報漏洩検知装置をコンピュータにおいて実現させる情報漏洩検知プログラム、および当該情報漏洩検知プログラムを記録したコンピュータ読み取り可能な記録媒体も、本発明の範疇に入る。

　したがって、上記情報漏洩検知プログラムは、上記情報漏洩検知装置と同じ効果を奏する。

　本発明の一態様に係る情報漏洩検知装置、情報漏洩検知方法、および、情報漏洩検知プログラムは、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、情報が漏洩したこと、または情報が漏洩するおそれが高まったことを検知し、当該漏洩の主体を特定することができるという効果を奏する。

本発明の実施の形態に係るサーバの要部構成を示すブロック図である。 上記サーバが備えた提示部によってユーザに提示される一覧表の一例である。 上記サーバが実行する処理の一例を示すフローチャートである。

　図１～図３に基づいて、本発明の実施の形態を説明する。

　〔サーバ１００の構成〕
　図１は、サーバ１００の要部構成を示すブロック図である。サーバ（情報漏洩検知装置）１００は、情報漏洩を検知する装置である。上記サーバ１００は、所定の通信方式にしたがうネットワークの内部（例えば、イントラネット）および当該ネットワークの外部（例えば、インターネット）に含まれるコンピュータと通信可能に接続され、以下で説明する処理を実行可能な機器でありさえすればよく、任意のコンピュータを用いて実現され得る。

　図１に示されるように、サーバ１００は、制御部１０（取得部１１、算出部１２、抽出部１３、格納部１４、判定部１５、特定部１６、提示部１７）、表示部５０、通信部２０（受信部２１、送信部２２）、および、記憶部３０を備えている。

　制御部１０は、サーバ１００が有する各種機能を統括的に制御する。制御部１０は、取得部１１、算出部１２、抽出部１３、格納部１４、判定部１５、特定部１６、および提示部１７を含む。

　取得部１１は、受信部２１によって受信されたデータ１を当該受信部２１から取得し、当該データ１を算出部１２、抽出部１３、および格納部１４に出力する。

　算出部１２は、ネットワークの外部に対するアクセスを監視することによって、機密情報２ａが当該アクセスにより漏洩する危険性を示す漏洩度３を算出する。算出部１２は、算出した漏洩度３と、格納部１４から入力された機密度２ｂとを判定部１５に出力する。なお、算出部１２が漏洩度３を算出する過程については、後で詳細に説明する。

　抽出部１３は、ネットワークを流通するデータを解析することによって、当該ネットワークの内部（例えば、イントラネット）に所属する各メンバー（各主体）の評判を示す評判情報４ａを抽出する。

　格納部１４は、ネットワークの内部において秘密に管理される非公知な機密情報２ａを、機密性の高低を示す機密度２ｂに対応付けて記憶部３０に格納する。また、格納部１４は、データ１に含まれる情報が、機密情報２ａとして記憶部３０に格納された情報であるか否かを判定するために、当該記憶部３０を照会する。

　判定部１５は、機密度２ｂおよび漏洩度３のうちの少なくとも一方が、機密情報２ａが漏洩する基準を示す所定の条件を満たすか否かを判定する。判定部１５による判定処理については、後で詳細に説明する。

　特定部１６は、判定部１５によって所定の条件を満たすと判定された場合（所定の条件を満たすことを示す判定結果５ａが判定部１５から入力された場合）、機密情報２ａに対応付けられた機密度２ｂ、または漏洩度３に基づいて、当該漏洩の主体（機密情報２ａを漏洩したメンバー、または機密情報２ａを漏洩するおそれが高まっているメンバー）を特定する。特定部１６は、上記漏洩の主体に関する情報を含む特定情報５ｂを、提示部１７に出力する。

　提示部１７は、特定部１６から特定情報５ｂが入力された場合、特定部１６によって特定された漏洩の主体が認識可能となるように、表示部５０に提示情報４ｃを出力することによってユーザ（例えば、サーバ１００の管理者）に提示する。また、提示部１７は、漏洩の主体が特定された根拠となる情報を上記提示情報４ｃに含め、上記表示部５０に出力することができる。例えば、機密情報２ａが電子メールに添付され、当該電子メールがネットワークの外部に送信されたことにより、上記機密情報２ａが漏洩した場合、提示部１７は、当該電子メールが上記ユーザに認識可能となるように、当該電子メールを提示できる。

　表示部５０は、提示部１７から入力された提示情報４ｃにしたがって、上記漏洩の主体に関する情報を表示可能な表示装置（例えば、液晶ディスプレイ）である。なお、図１は、サーバ１００が表示部５０を含む構成例を示すが、表示部５０は、上記漏洩の主体に関する情報をユーザに提示可能でありさえすればよく、例えば、サーバ１００に通信可能に接続された外部の表示装置であってもよい。

　通信部２０は、所定の通信方式にしたがうネットワークを介して外部と通信する。外部の機器との通信を実現する本質的な機能が備わってさえいればよく、通信回線、通信方式、および通信媒体などは限定されない。通信部２０は、例えばイーサネット（登録商標）アダプタなどの機器で構成できる。また、通信部２０は、例えばIEEE802.11無線通信、Bluetooth（登録商標）などの通信方式や通信媒体を利用できる。通信部２０は、受信部２１と送信部２２とを含む。

　受信部２１は、通信網を介した通信によって、当該イントラネットに含まれる任意のコンピュータからデータ１を受信する。

　送信部２２は、通信網を介した通信によって、当該インターネットに通信可能に接続された任意のコンピュータに、受信部２１から入力されたデータ１を送信する。

　記憶部３０は、例えば、ハードディスク、ＳＳＤ（silicon state drive）、半導体メモリ、ＤＶＤなど、任意の記録媒体によって構成される記憶機器であり、サーバ１００を制御可能な各種プログラム（情報漏洩検知プログラム）およびデータと、格納部１４によって格納された機密情報２ａおよび機密度２ｂとを記憶する。

　〔３つの具体的ケース〕
　図２は、提示部１７によってユーザに提示される一覧表の一例である。次の３つのケースを例示し、図２を参照しながら、サーバ１００が実行する処理の一例を説明する。

（１）ネットワークの内部に含まれるメンバー（以下、単に「メンバー」と称する）が、機密情報２ａを含むデータを電子メールに添付し、上記ネットワークの外部に送信した（図２に示される一覧表の１行目に対応する）。
（２）上記メンバーが求人を掲載するウェブページを閲覧した（２行目に対応する）。
（３）上記メンバーが外部の組織に所属する人物と、電子メールを用いてコミュニケーションを取っている（３行目に対応する）。

　（ケース１の場合）
　上記（１）に例示されるケースにおいて、上記電子メールに関するデータ１は、メンバーが使用するコンピュータからサーバ１００を経由して、上記ネットワークの外部に送信される。すなわち、受信部２１によって受信されたデータ１は、取得部１１によって取得され、算出部１２と格納部１４とに入力される。

　格納部１４は、データ１（電子メール）に添付されたデータとして含まれる情報が、機密情報２ａとして記憶部３０に格納された情報であるか否かを判定するために、当該記憶部３０を照会する。上記（１）に例示されるケースでは、上記情報は機密情報２ａに該当するため、格納部１４は、当該機密情報２ａに対応付けられた機密度２ｂ（上記一覧表の１行３列に「１００」と示される）を算出部１２に出力する。

　算出部１２は、「電子メールに添付して外部に送信する」という行為（外部に対するアクセス）に対して、情報漏洩の危険性を、漏洩度３として算出する。例えば、算出部１２は、上記アクセスにあらかじめ対応付けられた値を漏洩度３（上記一覧表の１行４列に「４０」と示される）として算出する。また、算出部１２は、メンバーの属性（年齢、性別、国籍、所属、地位、家族構成など）に応じて漏洩度３を算出してもよい。

　判定部１５は、記憶部３０に格納された関係性情報４ｂを、当該記憶部３０から読み出す。ここで、上記関係性情報４ｂには、上記電子メールを送信した上記メンバーの媒介中心性に関する情報が含まれる。ここで、上記「媒介中心性」は、そのメンバーを中継しなければ、情報が他のメンバーに伝わらない度合いを示す。すなわち、メンバーの組織におけるポジションの高さと、当該メンバーの媒介中心性の高さとは、正の相関を有する。そして、媒介中心性が低いメンバーほど、機密情報２ａを漏洩させる傾向にある。したがって、判定部１５が、媒介中心性の高低を所定の条件の１つとして用いることによって、より正確に情報漏洩を検知することができる。

　判定部１５は、算出部１２から入力された機密度２ｂおよび漏洩度３と、上記媒介中心性（記憶部３０から読み出した関係性情報４ｂ）とに基づいて、機密情報２ａが漏洩する基準を示す所定の条件が満たされたか否かを判定する。例えば、判定部１５は、機密度２ｂおよび漏洩度３にそれぞれ設定された所定のしきい値を、当該機密度２ｂおよび漏洩度３のうちの少なくとも一方が超過しているか否かを、上記所定の条件として判定できる。

　または、判定部１５は、機密度２ｂ、漏洩度３、および関係性情報４ｂに関わらず、「メンバーが機密情報２ａをネットワークの外部に送信した」という行為（アクセス）を検知したことから、上記所定の条件を満たしたと判定してもよい（上記行為に対して、上記所定のしきい値を超過する漏洩度３を設定することと同じである）。

　または、判定部１５は、媒介中心性が「低」であるか否か、かつ、上記漏洩度３が所定のしきい値を超過しているか否かを、上記所定の条件として判定してもよい。または、判定部１５は、機密度２ｂと漏洩度３とから算出可能な値（例えば、両者を乗じて得られる値）が所定のしきい値を超過しているか否かを判定してもよい。さらに、判定部１５は、前回算出された漏洩度３からの変化（すなわち、前回算出された漏洩度３と今回算出された漏洩度３との差分）が所定のしきい値を超過する場合、上記所定の条件を満たすと判定してもよい。

　判定部１５によって上記所定の条件を満たすと判定された場合、特定部１６が上記電子メールを送信したメンバーを情報漏洩の主体として特定し、提示部１７が当該メンバーをユーザ（サーバ１００の管理者）に提示する。

　以上の処理を実行することによって、サーバ１００は、機密情報２ａが漏洩したことを検知し、当該サーバ１００の管理者に通知することができる。

　なお、メンバーが機密情報２ａを電子メールに添付して外部に送信した事例に沿って、サーバ１００が実行する処理の一例を説明したが、「ネットワークの外部に送信した」という行為（アクセス）でありさえすれば、サーバ１００は前述と同様の処理によって上記アクセスによる情報漏洩を検知できる。

　例えば、メンバーが機密情報２ａをネットワークストレージにアップロードしたこと、メンバーがチャットシステムを介して機密情報２ａを外部に送信したことなどの行為（アクセス）についても、サーバ１００は、前述と同様の処理によって当該アクセスによる情報漏洩を検知できる。

　（ケース２の場合）
　上記（２）に例示されるケースにおいて、上記ウェブページの閲覧をリクエストするデータ１が、算出部１２と格納部１４とに入力される。

　格納部１４は、データ１に含まれる上記ウェブページのＵＲＬ（Uniform Resource Locator）が、記憶部３０に格納された監視対象リストの中に含まれているか否かを判定するために、当該記憶部３０を照会する。上記（２）に例示されるケースでは、上記ＵＲＬは監視対象とするＵＲＬの１つとして上記監視対象リストに含まれるため、格納部１４は、含まれていることを示す監視情報４ｄを算出部１２に出力する。

　なお、前述のように、上記（２）に例示されるケースにおいては、求人を掲載するウェブページのＵＲＬが、上記監視対象リストの中に含まれている。これは、転職を検討するために、上記求人を掲載するウェブページを頻繁に閲覧しているメンバーは、そうでないメンバーよりも機密情報２ａを漏洩させる傾向が強いからである。同様に、自身の業務とは無関係なコンテンツを含むウェブページを頻繁に閲覧しているメンバーは、そうでないメンバーよりも機密情報２ａを漏洩させる傾向が強いため、当該ウェブページのＵＲＬを上記監視対象リストに含めておいてもよい。

　算出部１２は、「監視対象とされているウェブページを閲覧した」という行為（外部に対するアクセス）に対して、情報漏洩の危険性を、漏洩度３として算出する。例えば、算出部１２は、上記アクセスにあらかじめ対応付けられた値を漏洩度３（上記一覧表の２行４列に「１０」と示される）として算出してよい。

　または、算出部１２は、前回算出した漏洩度３を用いて今回の漏洩度３を算出してもよい。例えば、前回「監視対象とされているウェブページを閲覧した」というアクセスに対して、漏洩度３が「５」と算出されていた場合、さらに「５」を加算して、今回の漏洩度３を「１０」と算出できる。

　また、算出部１２は、上記アクセスの頻度に応じて、前回算出した漏洩度３から今回の漏洩度３を算出してもよい。例えば、算出部１２は、上記ウェブページを閲覧する頻度が高まるほど漏洩度３が加速度的に大きくなるように、当該漏洩度３を算出することができる。

　判定部１５は、前述と同様に所定の条件を満たしているか否かを判定する。判定部１５によって満たしていると判定された場合、特定部１６が上記ウェブサイトを閲覧したメンバー（上記一覧表の２行１列において識別情報５ｃとして示されるホスト名を有するコンピュータを使用しているメンバー）を情報漏洩の主体として特定し、提示部１７が当該メンバーをユーザ（サーバ１００の管理者）に提示する。

　以上の処理を実行することによって、サーバ１００は、機密情報２ａが漏洩するおそれが高まっていることを検知し、当該サーバ１００の管理者に通知することができる。

　（ケース３の場合）
　上記（３）に例示されるケースにおいて、上記電子メールに関するデータ１が、算出部１２と格納部１４とに入力される。

　格納部１４は、上記電子メールに含まれる文章からキーワードを抽出し、当該キーワードが、記憶部３０に格納されたキーワードリストの中に含まれているか否かを判定するために、当該記憶部３０を照会する。上記キーワードリストには、例えば「社外秘」、「転職」、「面接」など、機密情報２ａの内容に関係するキーワード、機密情報２ａの漏洩を示唆するキーワード、機密情報２ａを漏洩させるための予備的行為に関係するキーワードなどが含まれる。格納部１４は、上記キーワードリストに含まれるキーワードに関する情報を含む監視情報４ｄを、算出部１２に出力する。

　算出部１２は、「所定のキーワードを含む電子メールを外部の人物に送信した」という行為（外部に対するアクセス）に対して、情報漏洩の危険性を、漏洩度３として算出する。例えば、算出部１２は、各キーワードにあらかじめ対応付けられた値の合計を、漏洩度３（上記一覧表の３行４列に「１５」と示される）として算出してよい。

　判定部１５は、前述と同様に所定の条件を満たしているか否かを判定する。判定部１５によって満たしていると判定された場合、特定部１６が上記電子メールを送信したメンバーを情報漏洩の主体として特定し、提示部１７が当該メンバーをユーザ（サーバ１００の管理者）に提示する。

　以上の処理を実行することによって、サーバ１００は、機密情報２ａが漏洩するおそれが高まっていることを検知し、当該サーバ１００の管理者に通知することができる。

　なお、格納部１４は、電子メールに含まれる文章だけでなく、公知の音声認識アルゴリズムを用いることによって、電話による通話を録音した音声データからもキーワードを抽出できる。したがって、サーバ１００は、電話による通話からも機密情報２ａが漏洩するおそれが高まっていることを検知することができる。

　〔評判に基づく漏洩度の算出〕
　ネットワークを流通するデータ１（例えば、電子データなどの文章を含むデータ）は、抽出部１３にも入力される。抽出部１３は、当該ネットワークの内部に所属する各メンバーの評判（レピュテーション；reputation）を示す評判情報４ａを生成し、当該評判情報４ａを算出部１２に出力する。

　例えば、抽出部１３は、電子データに含まれる文章を解析することによって、あるメンバーの技術力が低いことを示唆する内容が読み取られた場合、当該内容を含む評判情報４ａを生成する。この場合、算出部１２は上記評判情報４ａに基づいて、上記メンバーのアクセスに対する漏洩度３を通常より大きく算出する。技術力が低いほど、機密情報２ａを漏洩する傾向が強いためである。

　同様に、文章から組織に対する不満を示唆する内容が読み取られた場合も、算出部１２は評判情報４ａに基づいて、当該メンバーのアクセスに対する漏洩度３を通常より大きく算出する。不満が大きいほど、機密情報２ａを漏洩する傾向が強いためである。

　これにより、サーバ１００は、情報が漏洩したこと、または情報が漏洩するおそれが高まったことをより正確に検知し、当該漏洩の主体を特定することができる。

　〔データベースの構築〕
　格納部１４は、機密情報２ａにあらかじめ対応付けられた機密度２ｂを学習データとして参照することによって、当該機密情報２ａとは異なる他の機密情報２ａに機密度２ｂを新たに対応付けて、当該他の機密情報２ａを記憶部３０に格納することができる。

　記憶部３０に膨大な量の情報が格納されている場合、すべての情報に人手で機密度２ｂを対応付けることは現実的でない。そこで、すべての情報のうちの一部の情報にのみ人手で機密度２ｂを対応付け、当該対応付けられた機密度２ｂを学習データとして用いることによって、格納部１４が、残りの情報に対して機密度２ｂを対応付ける。

　これにより、サーバ１００は、大量の情報が機密情報２ａとしてリストアップされる場合であっても、情報が漏洩したこと、または情報が漏洩するおそれが高まったことをより正確に検知し、当該漏洩の主体を特定することができる。

　〔サーバ１００が実行する処理〕
　図３は、サーバ１００が実行する処理の一例を示すフローチャートである。なお、以下の説明において、カッコ書きの「～ステップ」は、本発明の実施の形態に係る情報漏洩検知方法に含まれる各ステップを表す。

　取得部１１は、受信部２１が受信したデータ１を当該受信部２１から取得する（ステップ１、以下「ステップ」を「Ｓ」と略記する）。格納部１４は、上記データ１に含まれる情報が機密情報２ａに該当するか否かを判定し（Ｓ２）、該当すると判定される場合（Ｓ２においてＹＥＳ）、格納部１４は、当該機密情報２ａに対応付けられた機密度２ｂを算出部１２に出力する（Ｓ３）。

　算出部１２は、データ１に関するアクセスに対して漏洩度３を算出する（Ｓ４、算出ステップ）。判定部１５は、機密度２ｂまたは漏洩度３が所定の条件を満たしているか否かを判定し（Ｓ５、判定ステップ）、満たしていると判定される場合（Ｓ５においてＹＥＳ）、当該アクセスの主体を上記機密情報２ａを漏洩する主体として特定する（Ｓ６、特定ステップ）。提示部１７は、当該漏洩の主体をユーザに認識可能に提示する（Ｓ７）。

　〔サーバ１００が奏する効果〕
　サーバ１００は、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、情報が漏洩したこと、または情報が漏洩するおそれが高まったことを検知し、当該漏洩の主体を特定することができるという効果を奏する。

　〔サーバ１００の別表現〕
　本発明の実施の形態に係るサーバ１００は、以下のようにも表現できる。すなわち、情報漏洩を検知する情報漏洩検知装置であって、ネットワークの内部において秘密に管理される非公知な機密情報を、機密性の高低を示す機密度に対応付けて所定の記憶部に格納する格納部と、前記ネットワークの外部に対するアクセスを監視することによって、前記機密情報が当該アクセスにより漏洩する危険性を示す漏洩度を算出する算出部と、前記機密情報に対応付けられた前記機密度、または前記漏洩度に基づいて、当該漏洩の主体を特定する特定部とを備えたことを特徴とする情報漏洩検知装置。

　〔ソフトウェアによる実現例〕
　サーバ１００の制御ブロック（特に、制御部１０）は、集積回路（ＩＣチップ）等に形成された論理回路（ハードウェア）によって実現してもよいし、ＣＰＵ（Central Processing Unit）を用いてソフトウェアによって実現してもよい。後者の場合、サーバ１００は、各機能を実現するソフトウェアであるプログラム（情報漏洩検知プログラム）の命令を実行するＣＰＵ、上記プログラムおよび各種データがコンピュータ（またはＣＰＵ）で読み取り可能に記録されたＲＯＭ（Read Only Memory）または記憶装置（これらを「記録媒体」と称する）、上記プログラムを展開するＲＡＭ（Random Access Memory）などを備えている。そして、コンピュータ（またはＣＰＵ）が上記プログラムを上記記録媒体から読み取って実行することにより、本発明の目的が達成される。上記記録媒体としては、「一時的でない有形の媒体」、例えば、テープ、ディスク、カード、半導体メモリ、プログラマブルな論理回路などを用いることができる。また、上記プログラムは、当該プログラムを伝送可能な任意の伝送媒体（通信ネットワークや放送波等）を介して上記コンピュータに供給されてもよい。本発明は、上記プログラムが電子的な伝送によって具現化された、搬送波に埋め込まれたデータ信号の形態でも実現され得る。

　具体的には、本発明の実施の形態に係る情報漏洩検知プログラムは、コンピュータ（サーバ１００）に、ネットワークの内部において秘密に管理される機密情報を、機密性の高低を示す機密度に対応付けて記憶する所定の記憶部を照会し、前記ネットワークの外部に対するアクセスによって前記機密情報が漏洩する危険性を示す漏洩度を算出する算出機能と、前記機密度および前記漏洩度のうちの少なくとも一方が、前記機密情報が漏洩する基準を示す所定の条件を満たすか否かを判定する判定機能と、前記判定機能によって前記所定の条件を満たすと判定された場合、前記漏洩の主体を特定する特定機能とを実現させる。

　上記算出機能、判定機能、および特定機能は、算出部１２、判定部１５、および特定部１６によってそれぞれ実現され得る。詳細については上述した通りである。

　〔付記事項〕
　本発明は上述したそれぞれの実施の形態に限定されるものではなく、請求項に示した範囲で種々の変更が可能であり、異なる実施の形態にそれぞれ開示された技術的手段を適宜組み合わせて得られる実施の形態についても、本発明の技術的範囲に含まれる。さらに、各実施の形態にそれぞれ開示された技術的手段を組み合わせることにより、新しい技術的特徴を形成できる。

　本発明は、パーソナルコンピュータ、ワークステーション、メインフレームなど、任意のコンピュータに広く適用することができる。

　２ａ：機密情報、２ｂ：機密度、３：漏洩度、４ａ：評判情報、４ｂ：関係性情報、１２：算出部、１３：抽出部、１４：格納部、１５：判定部、１６：特定部、１７：提示部、３０：記憶部、１００：サーバ（情報漏洩検知装置）

Claims (10)

1. 　情報漏洩を検知する情報漏洩検知装置であって、
   　ネットワークの内部において秘密に管理される機密情報を、機密性の高低を示す機密度に対応付けて記憶する所定の記憶部を照会し、前記ネットワークの外部に対するアクセスによって前記機密情報が漏洩する危険性を示す漏洩度を算出する算出部と、
   　前記機密度および前記漏洩度のうちの少なくとも一方が、前記機密情報が漏洩する基準を示す所定の条件を満たすか否かを判定する判定部と、
   　前記判定部によって前記所定の条件を満たすと判定された場合、前記漏洩の主体を特定する特定部とを備えたことを特徴とする情報漏洩検知装置。
2. 　前記判定部は、前記機密情報が前記ネットワークの外部に送信された場合、前記所定の条件を満たすと判定することを特徴とする請求項１に記載の情報漏洩検知装置。
3. 　前記算出部は、前回算出した漏洩度を用いて今回の漏洩度を算出し、
   　前記判定部は、前記今回の漏洩度が所定のしきい値を超過する場合、前記所定の条件を満たすと判定することを特徴とする請求項１または２に記載の情報漏洩検知装置。
4. 　前記ネットワークを流通するデータを解析することによって、当該ネットワークの内部に所属する各主体の評判を示す評判情報を抽出する抽出部をさらに備え、
   　前記算出部は、前記抽出部によって抽出された評判情報に基づいて、前記漏洩度を算出することを特徴とする請求項１から３のいずれか１項に記載の情報漏洩検知装置。
5. 　前記判定部は、複数の主体の関係性を示す関係性情報が、前記所定の条件を満たすか否かをさらに判定することを特徴とする請求項１から４のいずれか１項に記載の情報漏洩検知装置。
6. 　前記機密情報にあらかじめ対応付けられた前記機密度を学習データとして参照することによって、当該機密情報とは異なる他の機密情報に前記機密度を新たに対応付けて、当該他の機密情報を前記所定の記憶部に格納する格納部をさらに備えたことを特徴とする請求項１から５のいずれか１項に記載の情報漏洩検知装置。
7. 　前記特定部によって特定された漏洩の主体を、認識可能に提示する提示部をさらに備えたことを特徴とする請求項１から６のいずれか１項に記載の情報漏洩検知装置。
8. 　前記提示部は、前記漏洩の主体が特定された根拠となる情報をさらに提示することを特徴とする請求項７に記載の情報漏洩検知装置。
9. 　情報漏洩を検知する情報漏洩検知方法であって、
   　ネットワークの内部において秘密に管理される機密情報を、機密性の高低を示す機密度に対応付けて記憶する所定の記憶部を照会し、前記ネットワークの外部に対するアクセスによって前記機密情報が漏洩する危険性を示す漏洩度を算出する算出ステップと、
   　前記機密度および前記漏洩度のうちの少なくとも一方が、前記機密情報が漏洩する基準を示す所定の条件を満たすか否かを判定する判定ステップと、
   　前記判定ステップにおいて前記所定の条件を満たすと判定した場合、前記漏洩の主体を特定する特定ステップとを含むことを特徴とする情報漏洩検知方法。
10. 　情報漏洩を検知する情報漏洩検知プログラムであって、コンピュータに、
    　ネットワークの内部において秘密に管理される機密情報を、機密性の高低を示す機密度に対応付けて記憶する所定の記憶部を照会し、前記ネットワークの外部に対するアクセスによって前記機密情報が漏洩する危険性を示す漏洩度を算出する算出機能と、
    　前記機密度および前記漏洩度のうちの少なくとも一方が、前記機密情報が漏洩する基準を示す所定の条件を満たすか否かを判定する判定機能と、
    　前記判定機能によって前記所定の条件を満たすと判定された場合、前記漏洩の主体を特定する特定機能とを実現させることを特徴とする情報漏洩検知プログラム。

Images